Ai sensi e nel rispetto della normativa vigente in materia di protezione dei dati personali ed in particolare ai sensi degli artt. 13 e 14 della Legge 21 dicembre 2018, n. 171, rubricata “Protezione delle persone fisiche con riguardo al trattamento dei dati personali” (di seguito per brevità “Legge”) e ai sensi dell’Art. 13 e dell’Art. 14 del Regolamento UE 2016/679 (di seguito per brevità “GDPR”), l’Azienda Autonoma di Stato per i Servizi Pubblici in qualità di titolare del trattamento (di seguito per brevità “AASS” o “Titolare”), Le fornisce le seguenti informazioni riguardo al trattamento dei Suoi dati personali acquisiti per l’utilizzo del servizio di trasporto pubblico a chiamata tramite l’applicazione SMUVI; dati che saranno trattati, anche con l’ausilio di strumenti elettronici, direttamente da AASS e/o tramite terzi, per le finalità riportate di seguito (di seguito “Dati Personali”).
Il servizio di trasporto pubblico a chiamata può essere fruito dall’utenza sia tramite applicazione mobile dedicata sia tramite prenotazione telefonica con il supporto di un operatore.
Le modalità di trattamento dei dati personali possono variare in funzione del canale di accesso utilizzato. In particolare, la prenotazione effettuata tramite canale telefonico non prevede la creazione di un profilo utente né l’attivazione di funzionalità digitali associate all’account, come meglio specificato nelle sezioni che seguono.
Con Dati Personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. La presente informativa privacy (di seguito “Informativa”) è relativa ai trattamenti di Dati Personali effettuati da AASS per le finalità descritte alla successiva Sezione 4.
Ai sensi dell’articolo 2 della Legge, il Titolare del trattamento per le finalità di seguito riportate è l’Azienda Autonoma di Stato per i Servizi Pubblici, con sede in Via Andrea di Superchio, 16 -47893 Borgo Maggiore (RSM).
Per ulteriori informazioni può contattare il Titolare al seguente indirizzo e-mail: privacy@aass.sm oppure inviando una richiesta scritta all’Azienda Autonoma di Stato per i Servizi Pubblici, Via Andrea di Superchio, 16 -47893 Borgo Maggiore (RSM) ovvero contattandolo al numero tel. 0549883700.
Il “Responsabile della Protezione Dati”, previsto dalla Legge (di seguito brevemente RPD o DPO), è identificato con Decreto Delegato del 29 aprile 2022 n. 73, nell’Ufficio approvvigionamenti, contratti e protezione dati personali, con il compito di esercitare le funzioni e le competenze di cui al Titolo IV, Capo IV della Legge n. 171/2018 con riferimento all’intero Settore Pubblico Allargato. Per tutte le questioni relative al trattamento dei Suoi Dati Personali e/o per esercitare i diritti previsti dalla Legge stessa elencati successivamente nella presente informativa, può contattare il DPO al seguente indirizzo e-mail dpo@aass.sm, oppure presentare una richiesta scritta all’Ufficio Approvvigionamenti, contratti e protezione dati personali con sede in Via della Capannaccia 13, 47890, San Marino Città (RSM).
I Dati Personali raccolti e trattati da AASS tramite l’applicazione SMUVI e il sistema backend SHOTL per la prestazione del servizio di trasporto a chiamata sono:
Numero di telefono cellulare (obbligatorio per la registrazione e l’identificazione dell’utente);
Indirizzo e-mail (facoltativo, per comunicazioni relative al servizio);
Punti di partenza e arrivo selezionati manualmente dall’utente per ciascuna corsa;
Dati di prenotazione (codice prenotazione, data e ora della corsa);
Eventuali no-show (mancata presentazione alle corse prenotate).
In caso di prenotazione del servizio tramite canale telefonico, AASS tratta esclusivamente i dati strettamente necessari alla gestione della singola corsa (ad es. recapito telefonico, luogo e orario di partenza/destinazione), senza creazione di un profilo utente e senza gestione di credenziali di accesso. I conducenti del servizio visualizzano esclusivamente il codice di prenotazione, senza accesso a nome, cognome o altri dati identificativi del passeggero.
In tale modalità, non vengono trattati dati relativi all’utilizzo dell’applicazione né dati connessi a funzionalità digitali avanzate.
Il trattamento dei Dati Personali funzionali all'espletamento delle finalità sopra elencate è necessario per fornire il servizio richiesto.
L'applicazione SMUVI utilizza i servizi di localizzazione del dispositivo esclusivamente per facilitare la selezione delle fermate di partenza e arrivo da parte dell'utente.
Il dato di posizione è elaborato localmente sul dispositivo dell'utente e non viene trasmesso al backend di AASS o di SHOTL. Non è presente alcuna attività di tracciamento della posizione in background.
I soli dati memorizzati nel sistema sono i punti di partenza e arrivo che l'utente seleziona manualmente per ciascuna prenotazione, necessari per l'erogazione del servizio di trasporto.
I veicoli adibiti al servizio sono dotati di un sistema di videosorveglianza che riprende l'interno del veicolo accessibile ai passeggeri e l'area esterna circostante, per finalità di sicurezza dei passeggeri, prevenzione atti vandalici e accertamento responsabilità. Il posto di guida del conducente non è oggetto di ripresa. Il conducente non ha accesso alle immagini.
Il trattamento dei Dati Personali è eseguito per le seguenti finalità:
Gestione del servizio di trasporto a chiamata: registrazione utenti, gestione prenotazioni, assegnazione corse, comunicazioni relative al servizio. Base giuridica: esecuzione del contratto;
Gestione dei no-show e applicazione delle relative conseguenze previste dalle condizioni di servizio. Base giuridica: esecuzione del contratto;
Gestione amministrativa e contabile del servizio, fatturazione. Base giuridica: esecuzione del contratto ed adempimenti di legge;
Adempimento di obblighi normativi e fiscali. Base giuridica: obbligo di legge;
Videosorveglianza: legittimo interesse (sicurezza passeggeri e personale, prevenzione atti vandalici, accertamento responsabilità).
Il conferimento dei Dati Personali indicati come obbligatori è indispensabile per l’utilizzo del servizio. L’eventuale rifiuto comporta l’impossibilità di erogare il servizio richiesto.
L’indirizzo e-mail è facoltativo: il suo mancato conferimento non impedisce l’utilizzo del servizio, ma limita la possibilità di ricevere comunicazioni via e-mail.
Con riferimento alle prenotazioni effettuate tramite canale telefonico, il trattamento dei dati personali è limitato alle finalità di gestione operativa della singola richiesta di trasporto.
In tali casi:
non viene creato alcun profilo utente;
non sono attivate funzionalità di monitoraggio della corsa tramite applicazione, notifiche automatiche o storico delle prenotazioni;
il trattamento è effettuato sulla base dell’esecuzione del servizio richiesto e degli obblighi di interesse pubblico connessi all’erogazione del servizio di trasporto.
Il trattamento dei Dati Personali avviene con modalità automatizzate mediante l’applicazione mobile SMUVI e il sistema backend SHOTL, nel rispetto delle misure di sicurezza tecniche e organizzative previste dall’art. 33 della Legge 171/2018. Le password sono memorizzate esclusivamente in forma hashata e non reversibile. L'applicazione elabora i dati di geolocalizzazione esclusivamente in locale sul dispositivo dell'utente, senza trasmissione al backend. Non è attivo alcun tracciamento della posizione in background. Solo i punti di partenza e arrivo selezionati manualmente vengono memorizzati nel sistema per l'esecuzione del servizio.
I Dati Personali potranno essere comunicati esclusivamente per le finalità sopra specificate ai seguenti soggetti:
SHOTL S.L. (Spagna), fornitore della piattaforma tecnologica per la gestione del servizio, nominato Responsabile del Trattamento ai sensi dell’art. 29 della Legge 171/2018;
Conducenti del servizio (che visualizzano esclusivamente il codice di prenotazione);
Operatori del call center AASS (per le prenotazioni telefoniche);
Fornitori di servizi informatici e di assistenza tecnica, nominati Responsabili del Trattamento;
Autorità pubbliche per adempimenti di legge.
I dati sono trattati principalmente presso server ubicati nell’Unione Europea. Il fornitore della piattaforma SHOTL S.L. ha sede in Spagna (Stato membro UE). Eventuali trasferimenti verso Paesi terzi avverranno esclusivamente in presenza di garanzie adeguate ai sensi dell’art. 46 della Legge 171/2018.
I Dati Personali sono conservati per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono stati raccolti, nel rispetto del principio di limitazione della conservazione.
In particolare:
i dati relativi agli account utente sono conservati fino alla cancellazione dell’account da parte dell’interessato;
i dati relativi a prenotazioni e corse sono conservati per finalità di audit, controllo del servizio e analisi statistiche; decorso
un congruo periodo, i dati personali sono resi non direttamente identificabili;
i log di accesso e di attività degli operatori sono conservati per periodi limitati e proporzionati alle finalità di sicurezza e controllo;
le richieste di assistenza e i ticket sono conservati per il tempo necessario alla gestione e tutela dei diritti, anche in sede di eventuale contenzioso.
le immagini sono conservate per 96 ore, salvo necessità di conservazione più lunga per accertamento e difesa in sede giudiziaria. A bordo è esposta apposita segnaletica informativa.
AASS non adotta alcun processo decisionale automatizzato, compresa la profilazione di cui all’art. 22 della Legge.
L’interessato potrà in ogni momento esercitare nei confronti di AASS i diritti previsti dalla Legge di seguito elencati, che gli sono riconosciuti dalla normativa in materia di protezione dei dati personali, inviando un’apposita richiesta per iscritto ad AASS secondo una delle modalità indicate alla SEZIONE 1.
Lei potrà ottenere da AASS la conferma che sia o meno in corso un trattamento dei Suoi Dati Personali e, in tal caso, ottenere l'accesso ai propri dati personali ed alle informazioni previste dall’Art. 15 della Legge ottenendo evidenza, a titolo esemplificativo, delle finalità perseguite da parte del Titolare, delle categorie di dati coinvolti, dei destinatari a cui gli stessi possono essere trasmessi, del periodo di conservazione applicabile e dell’esistenza di processi decisionali automatizzati.
Lei potrà ottenere da AASS, senza ritardo, la rettifica dei Suoi Dati Personali che risultano inesatti come pure, tenuto conto delle finalità del trattamento, l’integrazione degli stessi, qualora risultino incompleti, fornendo una dichiarazione integrativa.
Lei potrà chiedere al Titolare la cancellazione dei Suoi Dati Personali, se sussiste uno dei motivi previsti dall’Art. 17 della Legge, tra cui, a titolo esemplificativo, qualora i Dati Personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati o qualora il consenso su cui si basa il trattamento dei Suoi Dati Personali sia stato da Lei revocato e non sussiste altro fondamento giuridico per il trattamento. Resta inteso che la revoca del consenso non pregiudicherà la liceità dei trattamenti effettuati fino a quel momento.
La informiamo che AASS non potrà procedere alla cancellazione dei Suoi Dati Personali: qualora il loro trattamento sia necessario, ad esempio, per l'adempimento di un obbligo di legge, per motivi di interesse pubblico, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Lei potrà ottenere la limitazione del trattamento dei Suoi Dati Personali qualora ricorra una delle ipotesi previste dall’Art. 18 della Legge, tra le quali, ad esempio: a fronte di una Sua contestazione circa l'esattezza dei Suoi Dati Personali oggetto di trattamento o qualora i Suoi Dati Personali le siano necessari per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, benché AASS non ne abbia più bisogno ai fini del trattamento.
Lei potrà opporsi in qualsiasi momento al trattamento dei Suoi Dati Personali qualora il trattamento venga effettuato per l’esecuzione di un’attività di interesse pubblico o per il perseguimento di un interesse legittimo del Titolare (compresa l’attività di profilazione), nei limiti di cui all’art. 21 della Legge. Qualora Lei decidesse di esercitare il diritto di opposizione qui descritto, AASS si asterrà dal trattare ulteriormente i Suoi dati personali, a meno che non vi siano motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Fatto salvo il Suo diritto di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora ritenesse che il trattamento dei Suoi Dati Personali da parte del Titolare avvenga in violazione della Legge e/o della normativa applicabile potrà proporre reclamo all’Autorità Garante per la Protezione dei Dati personali competente.